¿Cuáles son las claves para cumplir correctamente la normativa de Protección de Datos respecto a los datos personales de tus empleados?

Aquí tienes la Guía sobre Protección de Datos de trabajadores con todo lo que necesitas saber.

Regulación

Una de las principales obligaciones de las empresas en esta materia es la de regular correctamente las relaciones con sus trabajadores con el fin de evitar riesgos inherentes a estas relaciones.

RGPD

Una novedad importante que ha introducido el Reglamento Europeo de Protección de Datos en las relaciones jurídico-laborales es la facultad otorgada a cada uno de los Estados miembros para que establezcan normas específicas sobre el tratamiento de los datos personales de los trabajadores.

LOPD

La LOPD regula también las obligaciones que tienen los empresarios para proteger los datos personales de sus trabajadores así como el deber de secreto y confidencialidad que deben cumplir los empleados.

Antes de la Relación laboral

No solo deben protegerse los datos personales de los trabajadores, la normativa exige también una protección antes de comenzar una relación laboral, cuando recibimos un curriculum o realizamos un proceso de selección.

Procesos de selección

Debemos disponer de modelos de impresos tipo para la formalización del currículum y de un procedimiento de formalización y entrega de los mismos por los candidatos, ya que ello permite no sólo informar adecuadamente sino definir con precisión el tipo de datos a tratar, establecer las medidas de seguridad etc.

Si para la selección de personal se realiza algún tipo de anuncio o convocatoria pública debería incluirse en ella la información sobre la identidad y dirección del responsable del fichero, la finalidad del tratamiento y la posibilidad de ejercer los derechos ARCO.

Tratamiento de CV

Si el currículum se presenta directamente por el candidato sin habérsele solicitado deben fijarse procedimientos de información que supongan algún acuse o confirmación de conocer las condiciones en las que se desarrollará el tratamiento.

Encuentra el mejor asesoramiento

Protección de Datos en la relación laboral

Debemos tener en cuenta que, tanto en el momento de contratar un trabajador como durante el tiempo que dure esa relación laboral, tenemos que cumplir unos requisitos para garantizar la Protección de los datos del propio trabajador y de nuestros clientes.

Información

El contrato de trabajo constituye un medio adecuado para ofrecer información sobre los tratamientos directamente relacionados con la prestación laboral.

También será necesario informar al trabajador en todos aquellos casos en los que se produzcan cambios que afecten al tratamiento de los datos personales como la aparición de nuevas finalidades o de nuevos tratamientos.

Es importante también disponer en la empresa de una circular informativa donde se recogen las obligaciones que tienen los empleados en relación a la protección de los datos que manejan y en la utilización de los bienes y recursos de la empresa.

Consentimiento

Será necesario, en todo caso, solicitar y obtener el consentimiento del trabajador para poder tratar sus datos personales tanto a nivel interno de la empresa como para publicarlos o cederlos a terceros que presten servicios a esta.

Videovigilancia

El Estatuto de los Trabajadores faculta al empresario para adoptar las medidas que estime
más oportunas para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales.

Los sistemas de videovigilancia para control empresarial sólo se adoptarán cuando exista una relación de proporcionalidad entre la finalidad perseguida y el modo en que se traten las imágenes y no haya otra medida más idónea.

Derechos ARCO

Una de las obligaciones básicas que la normativa impone a las empresas es la de atender las solicitudes de ejercicio de derechos de acceso, rectificación, cancelación y oposición tanto de clientes como de sus empleados.

Los derechos ARCO se pueden ejercer de muchas maneras, ya sea a través del servicio de atención que proporciona nuestra empresa, por correo electrónico o a través del teléfono, dependiendo en cada caso. Siempre es necesaria la acreditación de la identidad.

Confidencialidad

Destaca especialmente en este ámbito el papel de los empleados, ya que son usuarios habituales y continuos de toda la información que circula por la empresa, incluyendo por supuesto una gran cantidad de datos de carácter personal, y están por tanto afectados por las obligaciones impuestas tanto por el RGPD como por la LOPD. Una de estas obligaciones sería la del Deber de Secreto:

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Es por eso que la empresa deberá recoger el compromiso de confidencialidad y las políticas de privacidad, incluyendo el manejo de material informático por parte de los usuarios en algún momento de la propia relación laboral: bien en el contrato de trabajo, como parte del clausulado general o bien en el momento de la adecuación a la normativa con algún tipo de documento ad-hoc.

Descarga el modelo de contrato de confidencialidad para empleados.

Cesión de datos

Es habitual que las empresas trabajen con varios terceros que, para prestarles un servicio, pueden tener acceso a datos de su titularidad, como es el caso de la gestoría que elabora las nominas de los empleados, las empresas de mantenimiento informático que tienen acceso a sus aplicaciones en las que almacenan bases de datos, empresas de almacenamiento externo y destrucción de documentación, empresas de seguridad y vigilancia, etc.

Para poder realizar esa cesión de datos es necesario firmar un contrato por escrito:

  • Entre la empresa cedente y el tercero cesionario.
  • Entre el trabajador que cede sus datos y la empresa.

Geolocalización

Geolocalizar a los trabajadores supone tratar sus datos personales ya que los datos de localización se refieren a una persona física identificada. En el caso de que la empresa se plantee  instalar un GPS en los vehículos de empresa para conocer la ubicación de sus trabajadores durante la jornada laboral debe cumplir varios requisitos:

  • Información. No es necesario que los trabajadores autoricen a instalar estos dispositivos. Pero sí es necesario informarles previamente de que se van a controlar sus desplazamientos, indicando la finalidad del control y el sistema de geolocalización utilizado.
  • Necesidad. El control por geolocalización debe ser necesario para una finalidad legítima. En consecuencia, sólo puede geolocalizarse a los trabajadores cuyas funciones hagan necesario este tipo de control. La ley no aclara los supuestos en los que se considera que existe una finalidad legítima pero algunos ejemplos serían:
    • Transporte . Si se instala en el vehículo de los transportistas para saber la ubicación de los vehículos y coordinar las distintas entregas de mercancía.
    • Seguridad. Si se instala en los vehículos de vigilantes de seguridad para conocer dónde se encuentran el vehículo y el trabajador, pues la empresa necesita saber en qué momento y lugar se están realizando las labores de vigilancia.

Ex-trabajadores

Una vez finalizada la relación laborar, el empresario sigue teniendo una serie de obligaciones respecto a los datos personales de su ex trabajador.

Conservación de datos personales

La LOPD establece que los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado. Una vez cumplido ese período, los datos sólo podrán ser conservados previa disociación de los mismos.

Eliminar accesos a datos de la empresa

Al finalizar la relación laboral se debe modificar o eliminar al usuario de las cuentas corporativas, servicios, aplicaciones y canales que habitualmente utiliza la empresa para que sus trabajadores puedan operar en conjunto. Es frecuente que durante cierto tiempo nos interese, por ejemplo, acceder al correo del antiguo empleado; en éste caso únicamente debemos modificar la contraseña.

Sanciones

Con el Reglamento General de Protección de Datos las cuantías de las sanciones por incumplimiento de la norma crecen, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual (no se excluye de las multas a las Administraciones Públicas, aunque los Estados Miembros pueden acordarlo así).

El nuevo RGPD, en su título VIII, prevé una serie de cambios muy relevantes en el campo del régimen sancionador persiguiendo
la protección efectiva de los datos de carácter personal, reforzando y especificando tanto los derechos de los interesados como las obligaciones de aquellas entidades y empresas que traten datos personales.

Preguntas frecuentes

¿Qué ocurre si el empleado se niega a firmar la cláusula de confidencialidad?

En el caso de que los trabajadores o colaboradores se negasen a firmar cualquier “Acuerdo de confidencialidad” o comunicación escrita donde se regule la política de empresa, esta se podría ver sancionada en caso de inspección de la administración, ya que en este tipo de procesos el responsable del fichero (es decir, la empresa) es el único responsable posible de cualquier sanción.

Por ello, las empresas deben disponer de una Política de Empresa que regule los procesos, responsabilidades, etc. de los trabajadores para con la empresa y viceversa, y que cumpla con los requerimientos de las diversas leyes que les afecten, siendo la empresa la responsable de informar y formarlos para que sepan que riesgos corren y a que sanciones quedan sujetos.

Con lo cual, cualquier incumplimiento por parte del trabajador del reglamento interno de la empresa y sus modificaciones, supondría un incumplimiento del Convenio Colectivo correspondiente, considerado como falta grave o muy grave, la cual podría suponer causa de despido disciplinario. Por otro lado, el supuesto de negación de la obligación de aceptar la Política, presupone Abuso de confianza y mala fe, lo que supone causa de despido procedente.

¿Puedo publicar en Internet datos personales de mis trabajadores?

Siempre será necesario el consentimiento expreso del trabajador.

El consentimiento para la comunicación masiva por Internet de los datos de sus empleados, incluidas las evaluaciones sobre los mismos, no podría entenderse válidamente prestado en el contexto de la relación laboral si su negativa a darlo, llevase aparejada algún tipo de consecuencia adversa o discriminatoria, no pudiendo hablarse de consentimiento libre.

La publicación de contenidos con información y datos respecto de trabajadores no puede ser realizada si éstos no han autorizado expresamente su publicación, pudiendo incurrir en un tratamiento y cesión no autorizados pudiéndose solicitar su retirada de forma inmediata.

¿Me permite la ley acceder a los correos electrónicos de los empleados?
El Tribunal Europeo de Derechos Humanos de Estrasburgo publicó una sentencia en la que considera legal que una empresa revise los correos electrónicos de su plantilla. Esto siempre que se refiera a los mensajes enviados desde el correo corporativo (en horario laboral) y los que se transmitan a través de cuentas privadas, pero operadas desde el ordenador del trabajo.En nuestro país se establece que el trabajador tiene que ser notificado antes de que se le monitorice el ordenador. Si la autorización está firmada, el empresario puede examinar las comunicaciones del empleado cuando le plazca.
Pero en el caso de los correos corporativos no hace falta autorización alguna: al ser una herramienta de la empresa, esta es la dueña y responsable de todo lo que desde ella se dice.
¿Necesito consentimiento por escrito para grabar a los trabajadores?
El Estatuto de los Trabajadores faculta al empresario para adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana. Entre estas medidas puede estar la captación y/o tratamiento de imágenes sin consentimiento. Es necesario informar al trabajador de esas grabaciones pero no es necesario solicitar su consentimiento siempre que las cámaras instaladas pretendan contribuir a la seguridad y control laboral.
¿Qué datos personales pueden incluirse en una tarjeta identificativa de un empleado?

La AEPD considera que, aparte del nombre y apellidos del trabajador, puede incluirse el DNI en la tarjeta identificativa, ya que pueden existir varias personas con el mismo nombre y apellidos. Esto no vulneraría el principio de proporcionalidad, al no resultar dicho tratamiento excesivo para la finalidad de identificación del personal.

Respecto a la inclusión de la fotografía del empleado, la finalidad que justifica esa inclusión es garantizar su identificabilidad en el desempeño de sus funciones. Por lo tanto, no es necesario recabar el consentimiento de los afectados, sin perjuicio del necesario cumplimiento del deber de informar a los mismos.

¿Puedo espiar a mis trabajadores?

La respuesta es depende.

A la hora de utilizar por parte de la empresa determinadas aplicaciones para controlar a los trabajadores se deben tener en cuenta una serie de principios y requisitos para no convertir estos controles en una vulneración de los derechos fundamentales de los trabajadores.

Para que esa vigilancia sea legal y legítima deben tenerse en cuenta una serie de principios establecidos en la LOPD como son:

  • Principio de proporcionalidad de los datos
  • Exista una justificación para realizarlo
  • Principio de información a los interesados
  • Consentimiento de los trabajadores afectados

¿Necesitas cumplir la LOPD?

Política de privacidad para empleados
4.8 (95.56%) 18 votos
  1. La Ley de protección de datos se está usando como excusa en muchos casos para despedir sin coste alguno a sus trabajadorres, ya que muchas empresas no poseen ningún software que vele por la protección de esos datos. Y lejos de responsabilizar a las empresas de tales infracciones, ya que no forman a sus trabajadores en esa materia, se está incurriendo con la connibencia de algunas admones., en fraude de ley, es decir, el uso de la ley de protección de datos para justificar de manera abusiva un despido disciplinario. Ya son muchos los casos que no se denuncian por la imntehgridad de los trabajadores y trabajadoras despedidos, en no causar daño alguno a sus empresas, pero la AEPD no gradúa nunca la responsabilidad de la trabajadora o trabajador que en la inmensa mayoría de los casos es el único o la única responsable del tratamiento de esa información. Hay mucho desconocimiento en esta materia, y detrás de ello las decisiones de las respectivas agencias así lo demuestran, hay muchas contradicciones y mucho afán recaudatorio. Causa abuso de la ley responsabilizaar a los trabajadores que en muchos casos carecen de formacióin relativa a esta materia, el hecho de responsabilizarles y con ello cargarles para toda la vida con un despido de carácter disciplinario, para salvaguarda de la empresa. Pero desgraciadamente hay mucho cinismo en este tema, y las empresas siguen abusando y haciendo un uso fraudulento de esa ley para despedir de manera injustificada a sus trabajadores (por ejemplo el hecho de que un trabajador o trabajadora, hay precedentes en estos casos, se pueda llevar el trabajo “a casa”, es trtado por la las empresas como causa justificada de despido). La ley al servicio de las empresas, los trabajadores y trabajadoras, indefens@s, lo que quede después (despidos disciplinarios), eso ya jamás podrá tocarse.

    1. Hola Luis, gracias por visitarnos y comentar.
      No soy experto ni mucho menos en el ámbito laboral, pero tu comentario me ha sorprendido. Supongo que para que se pueda admitir el despido justificado y sin coste de un trabajador por un tema LOPD, previamente deberá haber una sanción de la AEPD a la empresa, porque si no ¿cómo se justifica la vulneración de la ley ante Trabajo?
      Aparte de eso, la LOPD no dice en ningún sitio que una empresa deba poseer un “software que vele por la protección de esos datos”, de hecho ese sería un requisito de imposible cumplimiento. Ningún software puede controlar la enorme diversidad de aplicaciones distintas que mantienen datos de carácter personal (programa contable, gestor de correo electrónico, CRM, etc…)

  2. Buenas tardes. La verdad es que hay mucho desconocimiento sobre este tema de conversación, ya que la LOPD me dice lo que debo de cumplir, pero no en caso de que la persona afectada no quiera colaborar en el cumplimiento. De todos los casos que me he encontrado y por norma general, viene como consecuencia de algún conflicto empresa/trabajador, siempre he obstado por la información al trabajador y el razonamiento, pero en casos de negativa reiterada, hago firmar un documento al afectado (que también se negará) donde se hace saber de la negativa a firmar los correspondientes documento de confidencialidad y cláusulas informativas, con la firma de un testigo y del responsable de seguridad o del fichero, que certifique la negativa.
    ¿Sería correcta la iniciativa para estos casos extremos? No se me ocurre otra manera de poder justificar la negativa del trabajador para poder inhibir de responsabilidad a la entidad.

    Muchas gracias.

  3. […] Política privacidad empleados. Los conflictos con empleados son una de las vías de reclamación mas habituales ante la Agencia Española de Protección de Datos (AEPD), por lo que resulta de gran importancia tener bien marcadas las guías de actuación de los mismos respecto a sus propios datos y los de la empresa que vayan a manejar. Más información sobre trabajadores. […]

  4. Buenos días,

    Yo tengo una duda entorno a si existe alguna obligacion en la LOPD de cambiar las contraseñas a las que un empleado despedido tenía acceso… tengo un problema con un trabajador que se ha logueado en remoto a un servidor 15 dias despues de haber sido despedido y no tuvimos la prudencia de cambiar ese password, mi duda es si puedo denunciarlo alegremente o al final será peor el remedio que la enfermedad por haber vulnerado nosotros algún articulo de la LOPD

    Gracias de antemano.

    1. Buenas tardes Juan,

      En caso de despido es necesario que la empresa modifique las contraseñas utilizadas por ese empleado para evitar accesos indebidos. Por tanto, no podríais denunciar ya que era responsabilidad de la empresa cambiar ese password. Gracias a ti por leer el blog y por tu consulta

  5. Una duda, yo trabajo en la construcción asalariado , yo puedo subir fotos de mis trabajos a las redes sociales? O son propiedad de la empresa?

    1. Buenos días Juan,
      Esos trabajos son propiedad de la empresa que te contrata para realizarlos pero este tema no está relacionado con la protección de datos sino con la propiedad intelectual. Muchas gracias por leer el blog y por tu consulta

  6. Buenos días,
    Primero de todo, enhorabuena por la página tan completa y muchas gracias por poner tanta información a disposición de todos.
    Me han encargado hacerme cargo de la Protección de datos de la empresa donde trabajo. Tengo una duda con el tiempo que debo guardar los acuerdos de confidencialidad que firman los trabajores todos los años.
    Un saludo.

    1. Buenos días Toni,

      Sólo se pueden conservar los datos mientras se estén utilizando o no se haya terminado la finalidad para la que fueron recogidos, pero una vez finalice esta se deben bloquear los datos durante el tiempo estimado en la ley, esto quiere decir que podemos seguir conservando los datos pero no podemos tener acceso a ellos, solo podrán acceder a ellos las administraciones públicas, jueces y tribunales.
      Existen formas de poder conservar los datos:
      Una de ellas es la anteriormente comentada, se conservan los datos cuatro años, que es el tiempo en el cual las Administraciones Públicas, Jueces y Tribunales pueden solicitar el acceso a ellas e incluso prorrogarlo más tiempo, pero el inconveniente está en que la empresa no puede acceder a los datos, solo los conserva hasta que termine el plazo y tenga que borrarlo.
      La otra forma es incluir en la finalidad de recogida de datos, el marketing, de forma que los datos recogidos sean para poder enviarle posibles ofertas o promociones al cliente y de esta forma conservar los datos durante más tiempo.

      Gracias a ti por leer el blog, la finalidad es ayudar con estos temas de Protección de Datos así que me alegro de que te sirva de ayuda. Y gracias por tu consulta

      1. Muchas gracias por la respuesta tan rápida. Me surgen dudas, y es que soy novato en estos temas.

        “Sólo se pueden conservar los datos mientras se estén utilizando o no se haya terminado la finalidad para la que fueron recogidos”

        Entonces, de los trabajadores en activo, conservaremos sólo el último Acuerdo de Confidencialidad firmado (puesto que la finalidad del Acuerdo del año anterior puede decirse que termina cuando firman el Acuerdo del año en curso). Pero de los empleados que ya no trabajan para nosotros, deberemos conservarlos ¿siempre???, puesto que el Acuerdo de Confidencialidad que firman dice que están obligados al secreto profesional aun después de finalizar sus relaciones con la empresa.???

        “pero una vez finalice esta se deben bloquear los datos durante el tiempo estimado en la ley, esto quiere decir que podemos seguir conservando los datos pero no podemos tener acceso a ellos, solo podrán acceder a ellos las administraciones públicas, jueces y tribunales.”

        Los Acuerdos de Confidencialidad de los años anteriores de los trabajadores en activo serían entonces los que tendríamos que bloquear, pero son hojas de papel que guardamos en un archivador. ¿Cómo bloqueo un archivador??? ¿Meto los papeles en una caja y la precinto con cinta adhesiva!??? Pero es imposible justificar que nadie la ha abierto, ¿entonces?
        ¿Cuál es el tiempo estimado por la ley para los Acuerdos de Confidencialidad donde únicamente se trata el tema de secreto profesional (nada de marketing ni otras cosas)? ¿4 años?

        Perdona que sea pesado, es que estoy un poco perdido.

        Un saludo.


Comments are closed.